Das Titelthema im ADMIN 04/14 "Vernetzt speichern" sind Netzwerkdateisysteme, etwa Samba 4, verteilter Storage mit Ceph & GlusterFS und der Unix-Klassiker ... (mehr)

Mehr Kontrolle fürs Web

Für Version 9.2 hat Sophos auch die GUI des Web-Protection-Moduls grundlegend überarbeitet. Das Untermenü »Filteroptionen« vereint nun etliche Funktionen wie die Kategorien des URL-Filters und die Ausnahmenliste. Neu ist auch der »Policy Test« , mit dem der Admin die Auswirkung einer Richtlinienänderung im Kontext eines Clients (IP-Adresse), eines Benutzers und einer Zeitraumdefinition testet (Abbildung 7). So prüft er beispielsweise, ob eine neue Regel den Zugriff für einen Benutzer auf eine Webadresse zu einer bestimmten Tageszeit erlaubt.  Des Weiteren stellt der Webfilter im Bereich »Filteraktionen | zusätzliche Optionen« nun auch einen Google-Apps-Domänenfilter zur Verfügung. Er begrenzt den Zugriff auf Google-Anwendungen per Domain und sperrt so etwa den Zugriff auf GMail und andere Dienste mit privaten Accounts.

Abbildung 7: Mit dem neuen Policy-Tester probieren Administratoren die Wirkung von Content-Filtern vorab im Kontext von Geräten, Benutzern und Zeitschemata aus.

Ist unter »Verwaltung | Systemeinstellungen« als Virenscanner die Sophos Engine gewählt, überträgt die UTM verdächtige Dateien nun automatisch auch an Sophos, wo diese in einer Sandbox ausgeführt und analysiert werden. Ebenfalls nur mit dem Sophos-Virenscanner lassen sich jetzt auch sogenannte PUAs (Potentially Unwanted Applications, potenziell ungewollte Anwendungen) blockieren. Darunter versteht Sophos Programme, die nicht eigentlich schädlich, aber zumindest im Business-Kontext unerwünscht sind, zum Beispiel Hacking-Programme, Adware und Fernwartungstools. Zudem ist es jetzt auch möglich, im URL-Filter Webseiten manuell in andere Kategorien einzuordnen. Auf diese Weise lassen sich beispielsweise Seiten der Kategorie »uncategorized« in bestehende Filterkategorien einsortieren.

Transparente HTTP- und HTTPS-Proxies stellten schon vorherige Sophos-UTM-Versionen zur Verfügung. Neu ist allerdings, dass sich diese Verbindungen jetzt per Single-Sign-On (SSO) gegen Active Directory authentifizieren lassen. Voraussetzung dafür ist, dass die Clients im lokalen Netz den Domain-Namen (FQDN) der Firewall auflösen können. Zuverlässig funktioniert die Funktion allerdings nur beim Browser; Programme, die etwa zwecks automatischer Updates eine HTTPS-Verbindung ins Internet aufbauen, werden nicht korrekt erkannt.

Des Weiteren können sich dank Multi-Domain-Active-Directory-User-Support nun auch Benutzer per SSO anmelden, die denselben User-Namen in verschiedenen Windows-Domänen verwenden; bislang mussten die Benutzernamen einmalig sein. Auch für unterschiedliche Gerätetypen stehen dem Admin in der neuen UTM-Version mehrere HTTP-Authentifizierungsmethoden zur Auswahl. Auf diese Weise lassen sich beispielsweise Smartphones, Tablets, Kindles und andere Geräte, die SSO nicht unterstützen, über eine alternative Authentifizierungsmethode ins Netz bringen.

Schutz vertraulicher Informationen

Mit zwei weiteren neuen Features sagt Sophos auch der Weitergabe vertraulicher Informationen den Kampf an, egal ob absichtlich oder aus Versehen. Die Funktion Data Leakage Prevention (DLP) untersucht ausgehende E-Mails und Anhänge auf Daten, die das Unternehmen gar nicht oder nur verschlüsselt verlassen sollten. Dazu gehören je nach Branche und Land Kreditkartennummern, Telefonnummern und andere personenbezogene Daten, für die Sophos eine Reihe sogenannter Content Control Lists mitliefert, die je nach individuellem Bedarf zum Einsatz kommen. Benutzerdefinierte Zeichenfolgen ergänzen die mitgelieferten Listen, dabei unterstützt die DLP-Funktion auch reguläre Ausdrücke. So lässt sich der ausgehende E-Mail-Verkehr zum Beispiel auf unternehmensspezifische Daten und bestimmte Schlagworte analysieren. Findet die Sophos UTM eine passende E-Mail, stoppt sie die deren Auslieferung und benachrichtigt den Absender, den Administrator oder einen Dritten.

Eine weitere Option in den DLP-Einstellungen erlaubt es, E-Mails mit vertraulichen Daten vor dem Versand mit der neuen SPX-Encryption automatisch zu verschlüsseln. SPX steht für Secure PDF Exchange, eine symmetrische Verschlüsselungsmethode für ausgehende E-Mails. Der Empfänger braucht dafür kein Verschlüsselungsprogramm, sondern nur einen PDF-Reader.

Eine Gateway-zu-Gateway-basierte E-Mail-Verschlüsselung auf Basis von OpenPGP und S/MIME liefern die Sophos-UTMs bereits seit Jahren mit, doch sie hilft im Kontext von Data Leakage Prevention nicht weiter. SPX schließt die Lücke und erlaubt es, Nachrichten mit den vom DLP-Modul erkannten Inhalten nur verschlüsselt zu versenden. Es verpackt den Inhalt einer E-Mail in eine PDF-Datei, die der Empfänger dann nur mit einem Passwort öffnen kann (Abbildungen 8a und 8b).

Abbildung 8a und 8b: Mit SPX (Secure PDF eXchange) verschlüsselt Sophos UTM 9.2 ausgehende Nachrichten symmetrisch. Mit Data Leakage Prevention aktiviert die Firewall SPX automatisch.

Die Richtlinien für das Passwort legt der Administrator zuvor unter »Email Protection | SPX Encryption« fest. Neben der Kennwortkomplexität definieren die SPX-Vorlagen auch, ob die Firewall für jede ausgehende E-Mail ein neues Passwort erzeugt oder ob jeder Empfänger ein statisches erhält, das für alle seine E-Mails gleich bleibt. Bei beiden Methoden erhält der Absender der Nachricht das Passwort per E-Mail, um es dem Empfänger auf sicherem Wege mitzuteilen. Will der Absender selbst ein Passwort festlegen, bringt er es nach diesem Schema im Betreff der Nachricht unter:

[secure:password]Betreff

Den eigentlichen Inhalt der E-Mail ersetzt die UTM durch die PDF-Leseanweisungen für den Empfänger, die sich inhaltlich und optisch im Detail anpassen lassen.

In der Beta-Version, die dem ADMIN-Magazin für diesen Artikel vorlag, verbarg sich dabei noch ein Fehler, der sich mit der finalen Version hoffentlich erledigt hat: Die im Schema verwendeten eckigen Klammern waren bei der Vergabe des Passworts mit anzugeben und automatisch Bestandteil des Passworts – der Empfänger musste sie daher beim Öffnen der verschlüsselten Nachricht ebenfalls eingeben.

Die SPX-Verschlüsselung kommt auf Wunsch auch ohne die DLP-Funktion zum Einsatz. Die Benutzer entscheiden dann selbst, welche Nachrichten sie SPX-verschlüsselt versenden. Dazu fügen sie einer ausgehenden E-Mail ein zusätzliches Header-Feld hinzu:

"X-Sophos-SPX-Encrypt: yes"

Outlook-Benutzern stellt Sophos für diesen Zweck ein Plugin bereit. Thunderbird-Benutzer müssen das Header-Feld über den Konfigurationsdialog »Einstellungen | Erweitert | Allgemein | Konfiguration bearbeiten« (»about:config« ) manuell hinzufügen, bis Sophos das angekündigte Plugin auch für diesen Mailclient bereitstellt.

Hat der Admin die Option »SPX-Antwortportal« aktiviert, können die Empfänger SPX-gesicherte E-Mails auch verschlüsselt beantworten. Dazu finden sie im PDF einen »Reply« -Button, der die URL des Antwortportals im Browser aufruft. Das funktioniert auch mit Geräten wie dem iPad. Das SPX-Antwortportal stellt die Antwort dann dem ursprünglichen Absender unverschlüsselt zu.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021